本发明专利技术涉及一种在内网和外网之间跨物理隔离透明传输数据的系统:包括在所述的物理隔离的两侧分别设有第一、第二企业服务总线,第一、第二企业服务总线上分别部署有第一、第二安全数据传输适配器,物理隔离设在内网和外网的网关之间,进行网络安全区域隔离,第一、第二企业服务总线分别提供调用接口,同时与物理隔离通讯,第一、第二安全数据传输适配器分别负责内网和外网数据的安全认证和完整性、有效性校验。本发明专利技术还涉及所述系统的跨物理隔离透明传输数据的方法。通过本系统和方法对物理隔离环境下进行数据传送改进,可以简化业务系统的改造难度和工作量,同时数据通过安全数据传输适配器进一步增强了数据传输的安全性。
【技术实现步骤摘要】
本专利技术涉及一种传输数据的系统,尤其是涉及一种基于企业服务总线在内网和外网之间实现跨物理隔离透明传输数据的系统。本专利技术还涉及采用所述系统在内网和外网之间跨物理隔离透明传输数据的方法。
技术介绍
在许多重要的行业部门里,为了保障网络安全,会将非常重要的业务系统与其他办公系统进行很严格的安全防范,物理断开则是最安全的防范。但有很多的业务系统需要跨安全区域从重要的保护区取得需要分析、处理、展示的数据,为此采用物理隔离设备是这种行业内业务系统确保安全的重要安全手段。例如电力系统是技术密集行业,近几十年陆续出现了许多业务系统,如调度自动化、配电自动化、电量计量计费、电压无功控制、自动发电控制、电力市场技术支持及交易、客户服务、变电站自动化、发电厂监控、管理信息、励磁 控制、稳定控制、保护信息、广域监控信息、负荷预报、负荷控制、三级数据网、四级数据网、通信监控、信息统计分析、培训仿真、生产运行管理、营销管理、财务管理、台帐管理和企业资源管理等系统,无不是以数据传输与分析为基本手段而建设的。根据原国家经贸委第30号令发布的“电网和电厂计算机监控系统及调度数据网络安全防护规定”的要求,针对电力调度系统电网二次系统的特点、目前状况和安全要求,全国电力二次系统安全防护专家组和工作组提出了“全国电力二次系统安全防护总体方案”,国家电力监管委员会通过了“电力二次系统安全防护规定”(5号令)。将整个二次系统分为两个大区、四个安全工作区。生产控制大区安全I区(实时控制区)、安全II区(非控制生产区)、管理信息大区安全III区(生产管理区)、安全IV区(管理信息区)。为了强化安全区之间的隔离,采用不同强度的网络安全设备如硬件防火墙、电力专用安全隔离装置(正向、反向)等,使各安全区中的业务系统得到有效的保护安全区I与安全区II之间的采用硬件防火墙隔离;生产控制大区(安全区II、II)与管理信息大区(安全区m、iv)之间的采用电力专用隔离装置进行隔离。并严格限制数据的流向从安全区I、II往安全区III单向传输信息须采用正向隔离装置,由安全区III往安全区II甚至安全区II的单向数据传输必须采用反向隔离装置。电网信息系统通过隔离装置相互连接的示意图如图I所示。物理隔离设备采用双主机形式,从物理上阻断潜在攻击的连接。其中包括一系列的阻断特征,如没有通信连接,没有命令,没有协议,没有TCP/I P连接,没有应用连接,没有包转发,只有文件“摆渡”,对固态介质只有读和写两个命令。其结果是无法攻击、无法入侵、无法破坏。物理隔离网闸的硬件主要包括3部分专用安全隔离切换装置(数据暂存区)、内部处理单元和外部处理单元。系统中的专用安全隔离切换装置分别连接内部处理单元和外部处理单元,内外单元不对话不通信,保证装置中的数据暂存区在任意时刻仅连通内部或者外部处理单元,从而实现内外网的安全隔离。这种方案目前应用较多,其实现原理如图2所示。2000年I月,国家保密局颁布了“计算机信息系统国际联网保密管理规定”,其中规定“涉及国家秘密的计算机信息系统,不得直接或间接地与国际互联网或其它公共信息网络相联接,必须实行物理隔离。”因此,出于安全的考虑,最近各政府部门纷纷将其内部局域网与互联网进行了物理隔离。然而,随着政务公开和政府上网工程的开展,很多政府部门的对外业务服务必须通过互联网来完成。一般的,初始数据的采集和处理结果的反馈必须通过互联网来实现,而数据的审核和处理则需要由处于内网中的工作人员来完成。所以,对于几乎所有的政府机关而言,从外网采集来的初始数据和内网中的审批过程都必须存档备份,即存入系统内部的数据库中。这就产生了一个需求,如何在内外网物理隔离的条件下,将外网工作数据安全转移到内网,供内网工作人员使用。反过来。内网反馈的结果和公告信息又如何传送到外网去发布呢?由此,内外网的数据安全传输成为各政府部门需要迫切解决的问题。目前为满足这种需求要针对特定的物理隔离设备进行大量的源程序改造和部署工作,而且有的程序找不到源代码则无法进行程序改造,为了转化成物理隔离设备能够识别的文本文件需要人工做大量转换工作,这样会使得办公效率低下、人员过于劳累。·为此研究物理隔离环境下基于企业服务总线的方式来进行安全代理的数据传输,从而实现业务系统跨物理隔离进行透明传输,能有效地减小系统的改造工作和提高运行效率。企业服务总线ESB全称为Enterprise Service Bus,是传统中间件技术与XML、Web服务等技术结合的产物。ESB提供了网络中最基本的连接中枢。ESB的出现改变了传统的软件架构,可以提供比传统中间件产品更为廉价的解决方案,同时它还可以消除不同应用之间的技术差异,让不同的应用服务器协调运作,实现了不同服务之间的通信和整合。从功能上看,ESB提供了事件驱动和文档导向的处理模式,以及分布式的运行管理机制,它支持基于内容的路由和过滤,具备了复杂数据的传输能力,并可以提供一系列的标准接口。ESB基于面向服务的架构思想,具有强大的业务组件库;提供易用的服务编制工具以及数据映射工具;采用集中式管理,分布式运行的设计思想;解决企业、政府的数据整合、应用整合、接口整合、界面整合的问题。它将应用程序的不同功能单元既服务,通过服务间定义良好的接口和契约联系起来。接口采用中立的方式定义,独立于具体实现服务的硬件平台、操作系统和编程语言,使得构建在这样的系统中的服务可以使用统一和标准的方式进行通信。这种具有中立的接口定义的特征称为服务之间的松耦合。穿物理隔离要实现以下功能 I)数据访问屏蔽对异种数据的访问细节,为数据加工处理提供统一的数据访问服务,包括数据源定义、多个数据源连接、屏蔽异种数据的羞异,例如将消息转成文本文件,将邮件请求转成文本文件。2)安全规则判定将按照预先设定的策略,如对请求权限认证,对进出的数据内容进行扫描分析、筛选过滤,对于发往外网的HTTP、FTP、SMTP等数据如果违反安全规则,就被阻止进出。3)数据加工处理根据定义规则,通过数据访问,取出源数据,并按照规则要求对数据进行加工,转换为通用的XML格式数据文件,经由数据通信模块传输至物理隔离单元。所有数据加工及处理过程均记录至日志中。4)日志记录所有操作信息.当发生严重错误时,发出告警信息。所有日志信息记录在日志库中,更方便查询定位。5)数据通信将数据加工处理的结果打包成物理隔离单元能够识别认可的文本文件,穿过物理隔离单元,发送到外网物理隔离单元指定目录,在外网的企业服务总线监视该目录变化,发现更新便解读文本文件转换成服务请求,经安全数据传输适配器判定数据内容合法有效后传输给外网的业务系统。以上为内网传数据至外网为例,反之亦然。
技术实现思路
本专利技术所要解决的第一个技术问题,就是提供一种能减少应用程序为实现跨物理隔离传输而进行源代码改造的工作量、简化应用程序在物理隔离设备两侧的部署、提高业 务系统工作效率的在内网和外网之间跨物理隔离透明传输数据的系统。本专利技术所要解决的第二个技术问题,就是提供一种上述系统在内网和外网之间跨物理隔离透明传输数据的方法。解决上述第一个技术问题,本专利技术采用的技术方案如下 一种在内网和外网之间跨物理隔离透明传输数据的系统,其特征是包括在所述的物理隔离的两侧分别设有第一、第二企业本文档来自技高网...
【技术保护点】
一种在内网和外网之间跨物理隔离透明传输数据的系统,其特征是:包括在所述的物理隔离的两侧分别设有的第一、第二企业服务总线,所述的第一、第二企业服务总线上分别部署有第一、第二安全数据传输适配器,所述的物理隔离设在内网和外网的网关之间,进行网络安全区域隔离,所述的第一、第二企业服务总线分别提供调用接口,同时与物理隔离通讯,所述的第一、第二安全数据传输适配器分别负责内网和外网数据的安全认证和完整性、有效性校验。
【技术特征摘要】
1.一种在内网和外网之间跨物理隔离透明传输数据的系统,其特征是包括在所述的物理隔离的两侧分别设有的第一、第二企业服务总线,所述的第一、第二企业服务总线上分别部署有第一、第二安全数据传输适配器,所述的物理隔离设在内网和外网的网关之间,进行网络安全区域隔离,所述的第一、第二企业服务总线分别提供调用接口,同时与物理隔离通讯,所述的第一、第二安全数据传输适配器分别负责内网和外网数据的安全认证和完整性、有效性校验。2.根据权利要求I所述的在内网和外网之间跨物理隔离透明传输数据的系统,其特征是所述的第一、第二安全数据传输适配器中封装了两种服务发送和接收数据服务,以实现双向的数据传输,所述的企业服务总线提供标准类型的数据传输和多种协议转换,包括消息、文件、数据库和邮件传输。3.根据权利要求2所述的在内网和外网之间跨物理隔离透明传输数据的系统,其特征是所述的物理隔离通过以下三个方面对内网进行保护(I)隔离开关部件的通断;(2)协议的分拆和重组;(3)细粒度的访问控制和日志管理。4.根据权利要求3所述的在内网和外网之间跨物理隔离透明传输数据的系统,其特征是所述的安全数据传输适配器中的数据访问模块定义多个数据源连接,拒绝没有设定的访问目标,采用PKI身份认证技术,通过公钥密码体制中用户私钥的机密性来提供用户身份的唯一性验证,并通过数字证书机...
【专利技术属性】
技术研发人员:李志勇,刘延乐,王传起,王清玲,胡铁斌,陈宏辉,王朋义,荆德国,刘兵,张汉之,邹剑,吴锡武,李文朝,叶云琴,吴媚,
申请(专利权)人:广东电网公司茂名供电局,东方电子股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。